Miraiはボットネット マルウェアの一例です。 ボットネットマルウェアはコンピュータに感染し、攻撃者のC2インフラストラクチャへのコマンド&コントロール(C2)チャネルを開きます。 これにより、攻撃者はボットネットマルウェアにコマンドを送信し、マルウェアは感染したマシンのリソースを使用してコマンドを実行できます。 多くのデバイスが感染しているため、ボットネットはDDoS攻撃や クレデンシャルスタッフィングなどの大規模な自動攻撃を実行できます。
Miraiは、IoTデバイスを標的とするマルウェアの一種で、 IoTセキュリティの比較的貧弱な状態を利用します。 実際、Miraiは、これらのデバイスの多くがデフォルトの脆弱なユーザー名とパスワードで展開されているという事実を悪用しています。 Miraiは、さまざまなIoTデバイスのデフォルトのユーザー名とパスワードの短いリストを使用して、Telnet経由でログインし、ピーク時には数十万台のIoTデバイスにインストールすることができました。
ボットネットマルウェアは、一般的に自己拡散するように設計されています。 Miraiのケースでは、その主な感染経路は、Telnetを使用して脆弱なIoTデバイスにログインすることでした。 その結果、MiraiボットはTelnet経由でアクセス可能な脆弱なターゲットを定期的にスキャンし、特定したターゲットにマルウェアを配信しました。
ボットネット は、さまざまな目的に使用できます。 DDoS攻撃やクレデンシャルスタッフィング攻撃など、自動化できる攻撃は、数百または数千のボットに並行して実行させることで、大幅にスケールアップできます。
Miraiは、DDoS攻撃に特化したボットネットの一例です。 初期の頃は、恐喝の目的でMinecraftサーバーに対してDDoS攻撃を実行するために使用されていました。 それ以来、Miraiはさまざまな組織に対して注目を集める攻撃を実行するために使用されてきました。 広く使用されているDNSプロファイルであるDynに対する攻撃では、攻撃期間中、インターネットのかなりの部分がアクセス不能になりました。
Miraiのアプリケーションは、2016年9月にソースコードが流出したことで劇的に拡大しました。 ソースコードにアクセスすることで、他のサイバー犯罪者は、大成功を収めたボットネットマルウェアを適応させて、独自のボットネットを作成する可能性があります。 これには、マルウェアが自身のC2インフラストラクチャを指すように設定して攻撃を指示できるようにすることや、クレデンシャルスタッフィング、クリプトジャッキング、その他の自動攻撃の実行など、新しい感染メカニズムや機能などの追加機能を追加することが含まれます。
みらいは、組織や個人に複数の脅威をもたらします。 1つ目は、DDoS攻撃を実行するというMiraiボットネットの主な目的に由来します。 DDoS攻撃でサービスを標的とする大規模なボットネットは、堅牢なDDoS対策が講じられていない限り、そのサービスをダウンさせる可能性が高くなります。
Miraiの脅威は、そのソースコードが公開されたことで悪化しました。 最新のIoTボットネットの中には、Miraiの子孫であり、所有者の目標を達成するためにソースコードを微調整したものもあります。 これらのボットネットは、クレデンシャルスタッフィング、クリプトジャッキング、およびDDoSキャンペーン以外の攻撃に使用される可能性があるため、組織に幅広い脅威をもたらします。
最後に、Miraiは脆弱なDDoSデバイスの所有者に脅威をもたらします。 このマルウェアは、これらのデバイスの計算能力とネットワーク帯域幅を使用して DDoS攻撃を実行します。 ただし、これらのシステムへのアクセスは、所有者をスパイしたり、その他の攻撃を実行したりするために悪用される可能性もあります。
Miraiは、他の多くのボットネットと同様に、IoTデバイスのセキュリティの弱点を利用しています。 Miraiとその子孫から保護するためのベストプラクティスには、次のようなものがあります。
Miraiやその他のDDoSボットネットは、企業のサービスやシステムの可用性に重大なリスクをもたらします。 組織に対する大規模なDDoS攻撃は、処理能力を超えるトラフィックで組織を圧倒し、正当なユーザーが利用できなくなる可能性があります。
チェック・ポイントのQuantum DDoS保護により、企業はDDoSトラフィックを大規模にフィルタリングし、 DDoS 攻撃をブロックし、正当なユーザーが企業のリソースやサービスにアクセスできるようになります。 組織が自動化された攻撃にさらされる可能性の詳細については、 チェック・ポイントの無料のDDoSボット分析スキャンをご覧ください。